Le 2 juin, le groupe de cybercriminels Sodinokibi a doté son site d’une plateforme d’enchère pour les bases de données qu’il vole, comme l’a remarqué le Bleeping Computer. Les opérateurs de rançongiciels comme lui sont habitués à réclamer des rançons et à menacer de publier les données de leur victime, mais la mise en place d’une plateforme de vente est une nouvelle pratique.
Grâce à la plateforme, les hackers vont pouvoir générer un gain chaque fois qu’ils parviennent à déployer leur malware. Soit la victime paie la rançon pour déchiffrer ses données, soit d’autres cybercriminels paieront pour exploiter les données volées.
Sodinokibi a déjà fait parler de lui en mai, grâce au piratage du cabinet d’avocat GSMLaw, qui leur a ouvert l’accès aux données de dizaines de célébrités.
Les cybercriminels ont commencé par publier une partie des données de Lady Gaga, puis ils ont déclaré la vente de données supposément compromettantes sur Donald Trump pour plus d’un million d’euros. Puisque le cabinet refuse de payer les 42 millions de dollars exigés, les rançonneurs ont annoncé qu’ils mettraient les données à la vente. Prochaine victime : la chanteuse Madonna.
Des milliers d’euros à déposer pour participer aux enchères
Bien que la plateforme d’enchère se trouve sur le dark web, les cybercriminels ont établi des règles précises, dont ils sont les seuls garants. Les deux premières bases de données à la vente — liées pour l’une à une entreprise agroalimentaire, pour l’autre à une entreprise de produits agricoles — se présentent de la même manière.
Les hackers résument le contenu des données en quelques lignes, puis indiquent un prix de départ, un prix d’achat immédiat (le ‘Blitz Price’), ainsi que le dépôt nécessaire pour accéder à l’enchère. Dans le cas de la base de données de l’entreprise agroalimentaire, les montants sont, respectivement, de 100 000, 200 000 et 10 000 dollars.
Tout potentiel enchérisseur doit se créer un compte unique à la vente à laquelle il souhaite participer. Ensuite, il doit déposer 10 % du prix de départ (les 10 000 dollars évoqués plus haut), un montant qui lui sera remboursé à la fin de l’enchère. Les hackers se réservent le droit de conserver la mise de la personne qui a remporté l’enchère aux cas où elle ne paie pas, avant d’éviter les fausses offres. Si les enchères se font en dollars, la transaction finale se fera en Monero, une cryptomonnaie de plus en plus utilisée par les cybercriminels aux dépens du Bitcoin, plus surveillé par les autorités.
Le rançonneur Sodinokibi se diversifie dans la revente de données
Avec cet eBay des données volées, les hackers derrière le rançongiciel Sodinokibi (aussi connu sous le nom REvil) ont passé une nouvelle étape dans le suivi de leurs piratages.
Une fois qu’il est entré sur le système informatique de sa victime, le malware de Sodinokibi chiffre toutes les données qu’il trouve, les rendant illisibles. Non seulement la victime n’a plus accès à ses informations internes (comme ses contacts clients ou ses contrats de travail), mais en plus la plupart de ses outils informatiques ne fonctionnent plus correctement. Les hackers exigent alors le paiement d’une rançon contre la clé de déchiffrement nécessaire pour rétablir le système. Il y a à peine deux ans, l’histoire s’arrêtait le plus souvent là. Soit la victime payait la rançon, soit elle rétablissait son système à partir de ses sauvegardes. Mais la seconde option, malgré qu’elle soit longue et onéreuse, a rapidement fait consensus, pour de multiples raisons.
Pour continuer à faire payer leurs cibles, les cybercriminels ont dû innover. Sodinokibi a suivi la mouvance du secteur et a lancé plus tôt dans l’année un blog –baptisé ‘Happy Blog’ — sur lequel il publie progressivement les données de ses victimes. À la manière d’un preneur d’otage qui couperait une mèche de cheveux pour faire pression sur les payeurs, eux publient des échantillons de données.
260 000 dollars demandés par rançon en moyenne
Ils font d’une pierre deux coups : ils prouvent le sérieux de leur démarche et menacent leurs victimes d’un préjudice encore plus important. Une fuite de données pourrait en effet faire perdre des clients à la victime et endommager grandement sa situation financière à moyen terme. Et pour cause : une fois les données publiées gratuitement, de nombreux pirates malveillants vont s’en servir pour alimenter leurs propres cyberattaques.
Avec leur plateforme d’enchères intégrée au Happy Blog, les hackers de REvil poussent donc leur concept encore plus loin. Ils diversifient en quelques sortes leurs revenus : en plus d’être rançonneurs, ils sont également voleurs et revendeurs de données. ZDNet avait estimé à plus de 260 000 dollars la demande de rançon moyenne de Sodikonibi, une somme conséquente, mais payable par les grandes organisations visées par les hackers. Le prix de base des premiers jeux de données mises à la vente n’est que 2 à 3 fois inférieur au montant moyen des rançons, ce qui rend la pratique plutôt intéressante, puisque toutes les rançons ne sont pas payées.
Les données de Madonna, bientôt aux enchères
Sodikonibi avait déjà fait de premiers tests fin mai : ils prétendaient avoir vendu une base de données compromettantes sur Donald Trump pour plus d’un million de dollars. Et ils comptent bien surfer sur le même piratage pour tester leur nouveau modèle économique, d’après l’avertissement qui ponctue leur billet de blog : « Nous nous rappelons de Madonna et des autres. Bientôt. »,
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.